一種計算機取證系統(tǒng)的制作方法
【專利摘要】本實用新型公開了一種計算機取證系統(tǒng)����,包括取證管理平臺設(shè)備、證據(jù)存儲系統(tǒng)���、取證控制分析設(shè)備和取證板卡����;所述取證管理平臺設(shè)備通過取證控制分析設(shè)備與硬件板卡進行連接��,所述證據(jù)存儲系統(tǒng)也與取證控制分析設(shè)備相連接。本實用新型通過在被監(jiān)控計算機上設(shè)置部署取證板卡��,同時在該被監(jiān)控計算機上設(shè)置相對應(yīng)的取證控制分析設(shè)備��,共同完成分派的任務(wù)���,通過網(wǎng)絡(luò)同時對多臺計算機和系統(tǒng)進行動態(tài)實時監(jiān)控和取證�。
【專利說明】一種計算機取證系統(tǒng)【技術(shù)領(lǐng)域】
[0001]本實用新型涉及一種取證系統(tǒng)��,尤其涉及一種計算機取證系統(tǒng)����。
【背景技術(shù)】
[0002]現(xiàn)階段實時計算機取證的手段主要包括兩種,第一種是通過硬盤拷貝進行取證���,主要的產(chǎn)品有Logicube公司的計算機取證產(chǎn)品Dossier�����、Quest_2,達(dá)思萬能數(shù)據(jù)恢復(fù)系統(tǒng)(DST Almighty Data Recovery System,簡稱D-ARS)等��;第二種是采用入侵植入軟件的方式進行取證��,類似于病毒對計算機的運行痕跡進行保存�。硬盤拷貝取證系統(tǒng)需要被取證對象的配合���,能動性不強�����,軟件取證方式會影響計算機進程����,容易被檢測查殺��。
[0003]因此����,現(xiàn)有技術(shù)存在缺陷。
實用新型內(nèi)容
[0004]本實用新型的目的在于克服現(xiàn)有技術(shù)的不足�,本實用新型提供一種計算機取證系統(tǒng),通過硬件的方法�,解決現(xiàn)有技術(shù)中取證存在的問題。
[0005]為實現(xiàn)上述目的�����,本實用新型提供的技術(shù)方案是:一種計算機取證系統(tǒng)�����,其包括:取證管理平臺設(shè)備、證據(jù)存儲系統(tǒng)����、取證控制分析設(shè)備和取證板卡,所述取證管理平臺設(shè)備通過取證控制分析設(shè)備與硬件板卡進行連接�����,所述證據(jù)存儲系統(tǒng)也與取證控制分析設(shè)備相連接���。
[0006]依照本實用新型的一個方面��,其中���,所述取證板卡包括主控芯片F(xiàn)PGA以及數(shù)據(jù)接口 1394 接口。
[0007]依照本實用新型的一個方面����,其中,所述取證板卡還包括程序下載電路�����、晶振以及程序配置芯片,所述設(shè)置為FPGA主`控芯片的外圍電路�。
[0008]依照本實用新型的一個方面,其中�����,所述數(shù)據(jù)接口 1394接口通過PCI或PC1-E插槽與計算機相連�����。
[0009]依照本實用新型的一個方面���,其中,所述數(shù)據(jù)接口 1394包括1394鏈路層芯片����、1394物理層芯片以及1394采集卡。
[0010]依照本實用新型的一個方面�,其中,所述取證板卡與取證控制分析設(shè)備間通過移動Agent實現(xiàn)通訊����。
[0011]依照本實用新型的一個方面,其中�,所述取證管理平臺設(shè)備可以設(shè)置為計算機或其他能提供人機交互界面的設(shè)備���。
[0012]本實用新型的有益效果是:
[0013]通過在目標(biāo)主機即被監(jiān)控計算機上設(shè)置部署取證板卡,同時在該被監(jiān)控計算機上設(shè)置相對應(yīng)的取證控制分析設(shè)備����,針對不同的目標(biāo)主機構(gòu)建不同的取證控制分析設(shè)備,不同的被監(jiān)控計算機目標(biāo)主機間相互協(xié)作����,共同完成分派的任務(wù),通過網(wǎng)絡(luò)同時對多臺計算機和系統(tǒng)進行動態(tài)實時監(jiān)控和取證����。【專利附圖】
【附圖說明】
[0014]圖1是本實用新型一種計算機取證系統(tǒng)的結(jié)構(gòu)框架示意圖��;
[0015]圖2是本實用新型一種計算機取證系統(tǒng)中取證板卡的結(jié)構(gòu)示意圖�。
【具體實施方式】
[0016]下面將結(jié)合本實用新型實施例中的附圖,對本實用新型實施例中的技術(shù)方案進行清楚�、完整地描述,顯然���,所描述的實施例僅僅是本實用新型一部分實施例�����,而不是全部的實施例�����?��;诒緦嵱眯滦椭械膶嵤├?�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本實用新型保護的范圍��。
[0017]如圖1所示�����,一種計算機取證系統(tǒng)�,其包括:取證管理平臺設(shè)備、證據(jù)存儲系統(tǒng)�����、取證控制分析設(shè)備和取證板卡��;取證管理平臺設(shè)備:提供人機交互界面��,用于輸入監(jiān)控及取證命令;證據(jù)存儲系統(tǒng):對獲取的電子證據(jù)進行存儲和分類管理���;取證控制分析設(shè)備:發(fā)送監(jiān)控及取證命令給取證板卡�,接收來自取證板卡的取證數(shù)據(jù)��,并對取證板卡的數(shù)據(jù)進行簡單分析����;取證板卡:安裝在待取證的主機上,對主機進行實時監(jiān)控和數(shù)據(jù)采集�����;所述取證管理平臺設(shè)備通過取證控制分析設(shè)備與硬件板卡進行連接�����,所述證據(jù)存儲系統(tǒng)也與取證控制分析設(shè)備相連接����。所述取證管理平臺可以設(shè)置為計算機或其他能提供人機交互界面的設(shè)備。
[0018]如圖2所示��,所述取證板卡包括主控芯片F(xiàn)PGA以及數(shù)據(jù)接口 1394接口����。該板卡采用FPGA作為主控芯片����,F(xiàn)PGA具有運行速度快����、邏輯資源和存儲資源豐富、時鐘靈活�����、實時性高��、控制時序嚴(yán)格等優(yōu)點�,可以很好的實現(xiàn)IEEE1394接口的控制和數(shù)據(jù)傳輸����,同時能夠?qū)ψx取的計算機的內(nèi)存數(shù)據(jù)進行快速、實時的分析����。本系統(tǒng)選用美國FPGA的主流生產(chǎn)廠家Altera公司的EP2C70F672C6作為主控芯片,該芯片的特點是管腳豐富���,邏輯資源和存儲資源豐富�����,不需要配置外圍存儲芯片��,運行時鐘可以達(dá)到100MHz�,同時成本較低,穩(wěn)定性高����。其外圍電路主要包括程序下載電路、晶振和程序配置芯片�����。
[0019]所述取證板卡還包括程序下載電路����、晶振以及程序配置芯片,所述設(shè)置為FPGA主控芯片的外圍電路�����。所述程序下載電路可以設(shè)置為SOF、POF等程序下載接口��,所述程序配置芯片可以設(shè)置為EPC64N���,所述晶振的起振頻率為24.576MHZ�����。所述裝置統(tǒng)還設(shè)置有一路RS232串口���,是為便于調(diào)試而增加的串口芯片。
[0020]所述數(shù)據(jù)接口 1394接口通過PCI或PC1-E插槽與計算機相連���。由于計算機特別是臺式機一般沒有1394接口�,所以將1394接口通過PCI或PC1-E接口與計算機相連接��。
[0021]所述1394接口包括1394鏈路層芯片����、1394物理層芯片以及1394采集卡���。具體的是�����,IEEE1394鏈路層芯片采用TI公司生產(chǎn)的鏈路層芯片TSB12LV32�����,該芯片是一個高性能1394鏈路層控制器(LLC)�����,遵守IEEE1394-1995標(biāo)準(zhǔn)和1394a_2000補充標(biāo)準(zhǔn)����。TSB12LV32可用于普通目的,能夠與外部主控制器連接����,能夠通過數(shù)據(jù)端口連接一個外部傳輸設(shè)備,還可以與1394物理層連接���,數(shù)據(jù)可以通過鏈路層芯片TSB12LV32在三者之間進行傳輸�。傳輸速率最高可達(dá)到400Mb/s�。并可控制1394數(shù)據(jù)包的接收操作。TSB12LV32能夠正確地發(fā)送和接收1394數(shù)據(jù)包����,檢測并生成1394循環(huán)開始包�,將事務(wù)層的數(shù)據(jù)傳輸請求傳遞給物理層����,并能生成以及檢查32位循環(huán)冗余碼(CRC)校驗。TSB12LV32可以作為循環(huán)主控者��、1394總線管理者和等時資源管理者�����,并能支持兩個等時通道上的數(shù)據(jù)接收以及四個通道上的等時數(shù)據(jù)發(fā)送�。
[0022]所述取證板卡與取證控制分析設(shè)備間通過移動Agent實現(xiàn)通訊。該系統(tǒng)通過計算機網(wǎng)絡(luò)能夠同時對多臺被監(jiān)控目標(biāo)計算機進行實時監(jiān)控和取證�����,一個或多個以上的取證板卡分別對應(yīng)相應(yīng)的取證節(jié)點�����,取證板卡可在離線模式下實時獲取被監(jiān)控目標(biāo)計算機的需要監(jiān)控取證的信息�����,在本地能存放獲取的電子證據(jù)����,取證節(jié)點相互協(xié)作進行分析,共同完成分派的任務(wù)���,實現(xiàn)對多臺被監(jiān)控目標(biāo)計算機進行動態(tài)實時監(jiān)控和取證�,證據(jù)在傳輸中的安全性高���,系統(tǒng)的可靠性高��。
[0023]本系統(tǒng)能夠通過在計算機主板上插入硬件取證板卡�����,通過1394接口實現(xiàn)98.304MHz/s����、196.608MHz/s或392.216MHZ/s的傳輸速率對計算機內(nèi)存進行讀寫�,能夠?qū)τ嬎銠C的運行情況進行實時取證,不影響計算機的正常運行����,對于小于或等于16G內(nèi)存的計算機能夠在2分鐘內(nèi)完成內(nèi)存的取證工作�����。
[0024]以上所述�����,僅為本實用新型的【具體實施方式】���,但本實用新型的保護范圍并不局限于此,任何熟悉本領(lǐng)域技術(shù)的技術(shù)人員在本實用新型公開的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換,都應(yīng)涵蓋在本實用新型的保護范圍之內(nèi)���。因此�,本實用新型的保護范圍應(yīng)以所述權(quán)利要求的保護范圍為準(zhǔn)���。
【權(quán)利要求】
1.一種計算機取證系統(tǒng)��,其特征在于:包括:取證管理平臺設(shè)備����、證據(jù)存儲系統(tǒng)��、取證控制分析設(shè)備和取證板卡����,所述取證管理平臺設(shè)備通過取證控制分析設(shè)備與硬件板卡進行連接,所述證據(jù)存儲系統(tǒng)也與取證控制分析設(shè)備相連接���。
2.根據(jù)權(quán)利要求1所述的一種計算機取證系統(tǒng)��,其特征在于:所述取證板卡包括主控芯片F(xiàn)PGA以及數(shù)據(jù)接口 1394��。
3.根據(jù)權(quán)利要求2所述的一種計算機取證系統(tǒng)����,其特征在于:所述取證板卡還包括程序下載電路�、晶振以及程序配置芯片,所述設(shè)置為FPGA主控芯片的外圍電路�。
4.根據(jù)權(quán)利要求2所述的一種計算機取證系統(tǒng),其特征在于:所述數(shù)據(jù)接口1394接口通過PCI或PC1-E插槽與計算機相連��。
5.根據(jù)權(quán)利要求4所述的一種計算機取證系統(tǒng)����,其特征在于:所述數(shù)據(jù)接口1394包括1394鏈路層芯片��、1394物理層芯片以及1394采集卡��。
6.根據(jù)權(quán)利要求1所述的一種計算機取證系統(tǒng)�����,其特征在于:所述取證板卡與取證控制分析設(shè)備間通過移動Agent實現(xiàn)通訊���。
7.根據(jù)權(quán)利要求6所述的一種計算機取證系統(tǒng),其特征在于:所述取證管理平臺設(shè)備可以設(shè)置為計算機或其他能提供人機交互界面的設(shè)備���。
【文檔編號】G06F11/30GK203658991SQ201320882132
【公開日】2014年6月18日 申請日期:2013年12月30日 優(yōu)先權(quán)日:2013年12月30日
【發(fā)明者】陳亞霖, 彭智輝, 王卓 申請人:上海威億實業(yè)有限公司